Chương 12 Chương 12 An ninh trong thương mại điện tử An ninh trong thương mại điện tử © Prentice Hall 2004 © Prentice Hall 2004 2 2 Nội dung Nội dung 1. 1. Tài liệu trong máy tính và mạng phát triển Tài liệu trong máy tính và mạng phát triển nhanh nên nguy cơ bị tấn công cũng tăng. nhanh nên nguy cơ bị tấn công cũng tăng. 2. 2. Mô tả các biện pháp an ninh thông dụng Mô tả các biện pháp an ninh thông dụng của các doanh nghiệp. của các doanh nghiệp. 3. 3. Hiểu các phần tử cơ bản của an ninh Hiểu các phần tử cơ bản của an ninh TMĐT. TMĐT. 4. 4. Giải thích các loại tấn công an ninh cơ bản Giải thích các loại tấn công an ninh cơ bản của mạng máy tính. của mạng máy tính. © Prentice Hall 2004 © Prentice Hall 2004 3 3 Nội dung Nội dung (cont.) (cont.) 5. 5. Mô tả các lổi thông thường mà các tổ Mô tả các lổi thông thường mà các tổ chức gặp phải trong vấn đề quản lý chức gặp phải trong vấn đề quản lý an ninh. an ninh. 6. 6. Thảo luận một vài công nghệ chính Thảo luận một vài công nghệ chính cho việc an ninh truyền thông TMĐT. cho việc an ninh truyền thông TMĐT. 7. 7. Chi tiết một vài công nghệ chính cho Chi tiết một vài công nghệ chính cho các thành phần an ninh mạng máy các thành phần an ninh mạng máy tính TMĐT. tính TMĐT. © Prentice Hall 2004 © Prentice Hall 2004 4 4 Câu chuyện tấn công vét cạn Câu chuyện tấn công vét cạn thẻ tín dụng thẻ tín dụng Vấn đề Vấn đề Spitfire Novelties thường thực hiện Spitfire Novelties thường thực hiện từ 5 đến 30 giao dịch một ngày từ 5 đến 30 giao dịch một ngày Vào ngày 12 tháng 12 năm 2002 Vào ngày 12 tháng 12 năm 2002 trong một cuộc tấn công “vét cạn” trong một cuộc tấn công “vét cạn”, thẻ tín dụng Spitfire xử lý 140,000 Spitfire xử lý 140,000 thẻ tín dụng giả với giá trị $5.07 cho thẻ tín dụng giả với giá trị $5.07 cho mổi thẻ (62,000 được chấp nhận) mổi thẻ (62,000 được chấp nhận) © Prentice Hall 2004 © Prentice Hall 2004 5 5 Câu chuyện tấn công vét cạn Câu chuyện tấn công vét cạn thẻ tín dụng thẻ tín dụng (cont.) (cont.) Tổng số tiền phải trả lên đến khoảng Tổng số tiền phải trả lên đến khoảng $300,000 $300,000 Spitfire đã tìm ra các giao dịch này Spitfire đã tìm ra các giao dịch này khi họ được cho biết một người sử khi họ được cho biết một người sử dụng thẻ tín dụng khi kiểm tra đã dụng thẻ tín dụng khi kiểm tra đã phát hiện phải trả $5.07 phát hiện phải trả $5.07 © Prentice Hall 2004 © Prentice Hall 2004 6 6 Câu chuyện tấn công vét cạn Câu chuyện tấn công vét cạn thẻ tín dụng thẻ tín dụng (cont.) (cont.) Tấn công vét cạn thẻ tín dụng chỉ cần một số kĩ Tấn công vét cạn thẻ tín dụng chỉ cần một số kĩ năng tối thiểu năng tối thiểu Kẻ tấn công (Hacker) chạy hàng ngàn lần số Kẻ tấn công (Hacker) chạy hàng ngàn lần số tiền phải trả nhỏ thông qua tài khoản của các tiền phải trả nhỏ thông qua tài khoản của các thương gia, mà số tài khoản được sinh ngẫu thương gia, mà số tài khoản được sinh ngẫu nhiên nhiên Khi thủ phạm tìm thấy các số thẻ tín dụng đúng Khi thủ phạm tìm thấy các số thẻ tín dụng đúng thì họ có thể bán trên thị trường chợ đen thì họ có thể bán trên thị trường chợ đen Trong thời đại ngày nay có một số chợ đen trên Trong thời đại ngày nay có một số chợ đen trên mạng như các Web site mạng như các Web site carderplanet.com carderplanet.com , , shadowcrew.com shadowcrew.com , và , và counterfeitlibrary.com counterfeitlibrary.com © Prentice Hall 2004 © Prentice Hall 2004 7 7 Câu chuyện tấn công vét cạn Câu chuyện tấn công vét cạn thẻ tín dụng thẻ tín dụng (cont.) (cont.) Các yếu tố để thủ phạm dựa vào để Các yếu tố để thủ phạm dựa vào để xác nhận thẻ tín của các doanh xác nhận thẻ tín của các doanh nhân, doanh nghiệp là nhân, doanh nghiệp là Một định danh (ID) Một định danh (ID) Một password Một password Cả hai Cả hai © Prentice Hall 2004 © Prentice Hall 2004 8 8 Câu chuyện tấn công vét cạn Câu chuyện tấn công vét cạn thẻ tín dụng thẻ tín dụng (cont.) (cont.) Các dịch vụ xử lý thẻ tín dụng của Online Các dịch vụ xử lý thẻ tín dụng của Online Data, một thủ phạm cần mật khẩu của Data, một thủ phạm cần mật khẩu của thương gia để yêu cầu xác thực thương gia để yêu cầu xác thực Online Data đã bán lại cho VeriSign Inc. Online Data đã bán lại cho VeriSign Inc. các cổng dịch vụ thẻ tín dụng các cổng dịch vụ thẻ tín dụng VeriSign đã quy trách nhiệm cho Online Data về VeriSign đã quy trách nhiệm cho Online Data về các việc đã xảy ra các việc đã xảy ra Online Data cũng quy trách nhiệm cho Spitfire Online Data cũng quy trách nhiệm cho Spitfire là không thay đổi mật khẩu khởi tạo của họ là không thay đổi mật khẩu khởi tạo của họ © Prentice Hall 2004 © Prentice Hall 2004 9 9 Câu chuyện tấn công vét cạn Câu chuyện tấn công vét cạn thẻ tín dụng thẻ tín dụng (cont.) (cont.) Vào tháng tư năm 2002 các kẻ tấn Vào tháng tư năm 2002 các kẻ tấn công đã vào hệ thống xử lý thẻ công đã vào hệ thống xử lý thẻ Authorize.Net (một hệ thống thanh Authorize.Net (một hệ thống thanh toán lớn nhất trên Internet) toán lớn nhất trên Internet) 13,000 giao dịch thẻ tín dụng được thực 13,000 giao dịch thẻ tín dụng được thực hiện trong đó 7,000 thẻ thành công hiện trong đó 7,000 thẻ thành công Tham nhập vào hệ thống Authorize.Net chỉ Tham nhập vào hệ thống Authorize.Net chỉ cần tên đăng nhập, không cần mật khẩu cần tên đăng nhập, không cần mật khẩu © Prentice Hall 2004 © Prentice Hall 2004 10 10 Giải pháp cho việc tấn công Giải pháp cho việc tấn công vét cạn vét cạn Online Data nên sử dụng mật khẩu Online Data nên sử dụng mật khẩu mạnh ngay lúc đầu mạnh ngay lúc đầu Khách hàng nên thường xuyên thay Khách hàng nên thường xuyên thay đổi mật khẩu đổi mật khẩu Các dịch vụ nhận dạng như VeriSign Các dịch vụ nhận dạng như VeriSign và Authorize.Net nên xây dựng bảo và Authorize.Net nên xây dựng bảo vệ cảnh giới xác định các cuộc tấn vệ cảnh giới xác định các cuộc tấn công vét cạn công vét cạn [...]... hiện an ninh của tổ chức ở nhiều mức độ Các tổ chức nhỏ (10 đến 100 máy tính) Đã có sự tổ chức tập trung và dành một tỉ lệ phần trăm ngân sách CNTT cho việc thực hiện an ninh Không có khả năng để thực hiện an ninh CNTT © Prentice Hall 2004 20 An ninh và vấn đề của mọi người kinh doanh (cont.) Các tổ chức vừa (100 tới 1,000 máy tính) Phụ thuộc chính sách quản lý trong việc thực hiện các quyết định an ninh, ... Prentice Hall 2004 21 An ninh và vấn đề của mọi người kinh doanh (cont.) Các tổ chức lớn (1,000 tới 10,000 máy tính) Cơ sở hạ tầng phức tạp và được biết nhiều trên Internet Tập hợp các chi phí an ninh CNTT là lớn nhưng tính trung bình cho các nhân viên lại nhỏ © Prentice Hall 2004 22 An ninh và vấn đề của mọi người kinh doanh (cont.) Các tổ chức lớn An ninh CNTT là một phần thời gian và được đào tạo,... tổn thương, và cung cấp các hướng dẫn để chống lại các sự tấn công này © Prentice Hall 2004 18 Cần làm nhanh cho an ninh TMĐT (cont.) Theo báo cáo thống kê CERT/CC trong năm 2002 (CERT/CC 2002) Số lượng các vụ tấn công lớntừ xấp xỉ 22,000 trong năm 2000 tới trên 82,000 trong năm 2002 Quý một của năm 2003 số các vụ tấn công đã là 43,000 © Prentice Hall 2004 19 An ninh và vấn đề của mọi người kinh doanh... vi; các thủ tục quản lý rủi ro an ninh chuẩn có thể được dùng để giảm thiểu khả năng và ảnh hưởng © Prentice Hall 2004 14 Cần làm nhanh cho an ninh TMĐT Các nghiên cứu hằng năm được thực hiện bởi Computer Security Institute và FBI 1 Các tổ chức liên tục bị tấn công bởi những kẻ có kinh nghiệm từ bên trong và bên ngoài tổ chức © Prentice Hall 2004 15 Cần làm nhanh cho an ninh TMĐT (cont.) 2 Các loại tấn... phải chịu từ các vụ tấn công Các quyết định an ninh của họ dựa trên các chính sách của tổ chức © Prentice Hall 2004 23 An ninh và vấn đề của mọi người kinh doanh (cont.) Các tổ chức rất lớn (nhiều hơn 10,000 máy tính) một môi trường cực kì phức tạp mà rất khó quản lý với số nhân viên lớn dựa vào các chính sách quản lý trong việc thực hiện các quyết định an ninh chỉ một tỉ lệ phần trăm nhỏ thì đã có... công nghệ để chống lại các vụ tấn công này © Prentice Hall 2004 16 Cần làm nhanh cho an ninh TMĐT (cont.) National Infrastructure Protection Center (NIPC): liên kết các quan hệ đối tác, được bảo trợ bởi FBI, giữa chính phủ và các ngành công nghiệp; để bảo vệ cơ sở hạ tầng quốc gia © Prentice Hall 2004 17 Cần làm nhanh cho an ninh TMĐT (cont.) Computer Emergency Response Team (CERT): nhóm của ba đội tại... các trang tại site không? Có phải người dùng sẽ phá vỡ dịch vụ để cho nó không đến được người khác không? không © Prentice Hall 2004 26 Các vấn đề an ninh (cont.) Từ bối cảnh cả hai phía: Có phải đường kết nối mạng bị nghe trộm bởi một người thứ ba trên đường truyền không? không Có phải thông tin được gửi giữa người dùng và server bị thay đổi không? không © Prentice Hall 2004 27 Các yêu cầu an ninh. .. quyền truy cập vào các nguồn tài nguyên xác định © Prentice Hall 2004 28 Các yêu cầu an ninh (cont.) Kiểm toán (Auditing): là quá trình thu thập thông tin về sự cố gắng truy cập vào một nguồn tài nguyên đặc biệt , sử dụng các quyền hành đặc biệt, hay thể hiện các hành động an ninh khác © Prentice Hall 2004 29 Các yêu cầu an ninh (cont.) Sự cẩn mật (Confidentiality): các thông tin cá nhân và nhạy cảm khỏi... việc tấn công vét cạn thẻ tín dụng (cont.) Các dấu hiệu là: Số lần thương nhân yêu cầu lạ thường (nhiều) Lặp lại các yêu cầu với giá trị nhỏ từ cùng một thương nhân © Prentice Hall 2004 11 Tấn công vét cạn thẻ tín dụng (cont.) Kết quả VeriSign đã dừng các giao dịch trước khi chúng thanh toán, tiết kiệm cho $316,000 phải thanh toán Các thương nhân Authorize.Net phải trả $0.35 cho mỗi lần giao dịch Thu... tấn công © Prentice Hall 2004 24 Các vấn đề an ninh Từ bối cảnh của người dùng: Có phải công ty sở hữu và điều hành dịch vụ Web là xác thực không? không Có phải các trang Web và các biểu mẩu chứa các đoạn mã có hại không? không Có phải dịch vụ Web phân phối các thông tin không được phép tới các người khác không? không © Prentice Hall 2004 25 Các vấn đề an ninh (cont.) Từ bối cảnh của công ty: Có phải . Chương 12 Chương 12 An ninh trong thương mại điện tử An ninh trong thương mại điện tử © Prentice Hall 2004 © Prentice Hall 2004 2 2 Nội dung Nội dung 1. 1. Tài liệu trong máy tính và mạng. liệu trong máy tính và mạng phát triển nhanh nên nguy cơ bị tấn công cũng tăng. nhanh nên nguy cơ bị tấn công cũng tăng. 2. 2. Mô tả các biện pháp an ninh thông dụng Mô tả các biện pháp an ninh. dụng của các doanh nghiệp. của các doanh nghiệp. 3. 3. Hiểu các phần tử cơ bản của an ninh Hiểu các phần tử cơ bản của an ninh TMĐT. TMĐT. 4. 4. Giải thích các loại tấn công an ninh cơ bản Giải